Partager via


Présentation des salles blanches Azure Databricks

Important

Cette fonctionnalité est disponible en préversion publique.

Cet article présente les salles blanches, une fonctionnalité Azure Databricks qui utilise Delta Sharing et le calcul serverless pour fournir un environnement sécurisé et de protection de la confidentialité où plusieurs parties peuvent travailler ensemble sur des données d’entreprise sensibles sans accéder directement aux données des autres.

Spécifications

Pour pouvoir utiliser les salles blanches, vous devez :

Comment fonctionnent les salles blanches ?

Lorsque vous créez une salle blanche, vous créez les éléments suivants :

  • Un objet de salle blanche sécurisable dans votre metastore Unity Catalog.
  • La salle blanche « centrale », qui est un environnement éphémère isolé géré par Databricks.
  • Un objet de salle blanche sécurisable dans le metastore Unity Catalog de votre collaborateur.

Les tables, les volumes (données non tabulaires) et les blocs-notes partagés par les collaborateurs dans la salle propre sont partagés uniquement avec la salle propre centrale, à l’aide du partage Delta.

Les collaborateurs ne peuvent pas voir les données dans les tables et volumes d’autres collaborateurs, mais ils peuvent voir les noms de colonnes et les types de colonnes, et ils peuvent exécuter du code de notebook approuvé qui fonctionne sur les tables et les volumes. Le code du notebook s’exécute dans la salle blanche centrale. Les blocs-notes peuvent également générer des tables de sortie qui permettent à votre collaborateur d’enregistrer temporairement la sortie en lecture seule dans leur metastore Du catalogue Unity afin qu’ils puissent l’utiliser dans leurs espaces de travail.

Architecture et flux simples des salles propres, avec des tables de sortie

Comment les salles blanches garantissent-elles un environnement sans confiance ?

Le modèle de salles blanches Databricks est « sans confiance ». Tous les collaborateurs d’une salle blanche sans confiance ont des privilèges égaux, y compris le créateur de la salle blanche. Les salles propres sont conçues pour empêcher l’exécution de code non autorisé et le partage non autorisé de données. Par exemple, tous les collaborateurs doivent approuver un notebook avant de pouvoir l’exécuter. Cette approbation est appliquée implicitement en empêchant un collaborateur d’exécuter un notebook qu’il a créé lui-même : vous ne pouvez exécuter qu’un notebook créé par l’autre collaborateur.

Protections ou restrictions supplémentaires

Les protections suivantes sont en place en plus du processus d’approbation implicite du notebook mentionné ci-dessus :

  • Une fois qu’une salle blanche est créée, elle est verrouillée pour empêcher les nouveaux collaborateurs de rejoindre la salle blanche.

  • Si un collaborateur supprime la salle blanche, la salle blanche centrale est vide et aucune tâche de salle blanche ne peut être exécutée par n’importe quel utilisateur.

  • Pendant la préversion publique, chaque salle blanche est limitée à deux collaborateurs.

  • Vous ne pouvez pas renommer la salle blanche.

    Le nom de la salle blanche doit être unique dans le metastore de chaque collaborateur, afin que tous les collaborateurs puissent faire référence à la même salle blanche sans ambiguïté.

  • Les commentaires sur la salle blanche sécurisables dans l’espace de travail de chaque collaborateur ne sont pas propagés à d’autres collaborateurs.

Qu’est-ce qui est partagé avec d’autres collaborateurs ?

  • Nom de la salle blanche.
  • Cloud et région de la salle blanche centrale.
  • Nom de votre organisation (qui peut être n’importe quel nom que vous choisissez).
  • Identificateur de partage de salle propre (ID global metastore + ID d’espace de travail + adresse e-mail de l’utilisateur).
  • Alias de tables ou de volumes partagés.
  • Métadonnées de colonne (nom de colonne ou alias et type).
  • Notebooks (en lecture seule).
  • Tables de sortie (lecture seule, temporaire).
  • Table système des événements de salle blanche.
  • Historique des exécutions, notamment :
    • Nom du notebook en cours d’exécution
    • Collaborateur qui a exécuté le notebook (et non l’utilisateur).
    • État de l’exécution du notebook.
    • Heure de début de l’exécution du notebook.

Qu’est-ce qui est partagé avec la salle blanche centrale ?

  • Tout ce qui est répertorié dans la section précédente.

  • Tables, volumes et notebooks en lecture seule.

    Les tables et les volumes sont inscrits dans le metastore de la salle blanche centrale avec tous les alias fournis. Les tables, volumes et notebooks sont partagés tout au long du cycle de vie de la salle blanche.

Limites

Pendant la préversion publique, les limitations suivantes s’appliquent :

  • Aucune bibliothèque Scala d’informations d’identification de service n’est incluse dans la version de Databricks Runtime requise.

Quotas de ressources

Azure Databricks applique des quotas de ressources sur tous les objets sécurisables de salle blanche. Ces quotas sont répertoriés dans les limites de ressources. Si vous prévoyez de dépasser ces limites de ressources, contactez l’équipe de votre compte Azure Databricks.

Vous pouvez surveiller l’utilisation de vos quotas à l’aide des API de quotas de ressources d’Unity Catalog. Consultez Surveiller l’utilisation de vos quotas de ressources Unity Catalog.

Démarrage